Белый хакер Cyber Security🧑🏻‍💻

🔑 GitLab и 2FA: неприятный байпас, о котором стоит знать Всем привет! В GitLab закрыли уязвимость CVE-2026-0723, которая позволяла обойти двухфакторную аутентификацию, если атакующий знал идентификатор учётных данных жертвы. Проблема оказалась довольно банальной по сути, без нормальной проверки возвращаемого значения в сервисах аутентификации, но последствия тут совсем не банальные. ❕ Исправления уже вышли в версиях 18.8.2, 18.7.2 и 18.6.4, так что если у тебя где-то крутится GitLab, стоит проверить версии прямо сейчас. Я думаю, многие до сих пор воспринимают 2FA как абсолютную защиту, а такие баги отлично показывают, что всё упирается в реализацию. Формально второй фактор есть, а фактически его можно аккуратно обойти при удачном стечении условий.

👨‍💻 Помимо этого, разработчики GitLab закрыли ещё четыре уязвимости, и две из них с пометкой dangerous. Там уже классика: DoS через специально собранные запросы к Jira Connect, API релизов и SSH, плюс зацикливание при обработке хитрого Wiki-документа. Ничего экзотического, но в проде такие вещи легко превращаются в простой сервиса в самый неподходящий момент.

⚙️ Деталей пока нет, их раскроют через 30 дней, а значит окно для атак появится сразу после публикации технических подробностей. Лучше закрыть этот вопрос заранее, чем потом разбирать инцидент и объяснять, почему 2FA «вдруг не спас». P. S 2FA это важно, но не повод расслабляться и не следить за апдейтами. Любая логическая ошибка в коде может свести все уровни защиты к нулю. #GitLab #Infosec 👍 Белый хакер

⌨️ CrashFix: когда браузер ломают специально, чтобы ты сам себя заразил Привет, я думал, что ClickFix уже сложно сделать злее, но нет. Исследователи из Huntress описали новую вариацию атаки под названием CrashFix, и тут злоумышленники пошли дальше. Они сделали вредоносное расширение, которое косит под uBlock Origin Lite, а потом намеренно валит браузер, чтобы ты в панике сам выполнил нужную им команду.

👨‍💻 Механика простая и поэтому опасная. Расширение NexShield сначала ведёт себя тихо, выжидает примерно час, а потом начинает устраивать DoS самому браузеру через бесконечные chrome.runtime подключения. Браузер зависает, падает, перезапускается, а тебе показывают фейковое предупреждение с советом «починить» всё через Win+R. В буфере уже лежит PowerShell команда, тебе остаётся только вставить и нажать Enter.

🔑 Дальше начинается классика корпоративного взлома. Через легитимный Finger.exe подтягиваются данные, потом скачивается ModeloRAT, Python-троян для удалённого доступа. Малварь вообще не ставится на домашние машины. Если хост не в домене, C2 отдаёт «TEST PAYLOAD!!!!». Это чёткий сигнал, что цель именно корпоративные сети, Active Directory и внутренние ресурсы, а не случайные пользователи. Расширения браузера стали частью цепочки атаки. Не BSOD, не «сломанный сайт», а специально созданный стресс, в котором человек сам превращается в этап эксплуатации. Я думаю, что дальше мы будем всё чаще видеть такие сценарии, где пользователь формально делает всё сам и антивирусу даже не к чему придраться. P. S Я бы на вашем месте жёстко пересмотрел список разрешённых расширений в компании и закрыл запуск PowerShell для обычных пользователей. Это скучно, но реально работает. #ClickFix #Malware #Browser 👍 Белый хакер

Коллеги, в понедельник встречаемся на Практикуме по Web Application Penetration Testing (WAPT) 🔥 Для тех, кто ещё не в списке участников — это хороший повод задуматься. Мы будем разбирать реальный кейс по веб-пентесту. Не в теории, а в реальной работе, когда автоматические сканеры уже не помогают. К эфиру подготовлен живой практический разбор. 🟧 Регистрация: https://wapt-workshop.codeby.school Что вас ждёт: 🟧 Реальная работа с уязвимостями. 🟧 Презентация курса Академии Codeby. 🟧 Нестандартные XSS и SQL-инъекции, которые не ловят сканеры. 🟧 Разбор уязвимостей и применение эксплойтов. 🟧 Демонстрация методики мышления настоящего пентестера. Это не лекция. Это сложный разбор с моментами, где даже у опытного специалиста возникают вопросы. Почему важно быть онлайн: — можно задать вопросы по ходу разбора — будут детали, которые не попадут в запись — живой диалог по кейсу, а не монолог. Практикум пройдёт в прямом эфире. Количество мест ограничено. 🟧 26 января, 19:00 МСК 🟧 Регистрация: https://wapt-workshop.codeby.school Если будут вопросы по регистрации — пишите в бот @CodebyAcademyBot

👀 StackWarp: когда «конфиденциальные» ВМ внезапно перестают быть конфиденциальными Привет, думаю, многие уже привыкли воспринимать AMD SEV-SNP как некий бронежилет для виртуалок в облаке. Но ребята из CISPA показали, что даже на уровне железа бывают сюрпризы. Они нашли аппаратную уязвимость StackWarp в процессорах AMD от Zen 1 до Zen 5, которая позволяет ломать защищённые ВМ, если у атакующего есть контроль над хостом.

👨‍💻 Суть атаки довольно мерзкая и потому интересная. Через недокументированный бит в MSR-регистре можно манипулировать указателем стека внутри гостевой ВМ, причём делается это с соседнего логического ядра при включённом SMT. В итоге поток выполнения уезжает куда нужно атакующему, а SEV-SNP молча наблюдает. Это уже не про утечки через кеши, а прямое вмешательство в исполнение кода.

👤 Практика у исследователей тоже бодрая. Они вытащили RSA-2048 ключ, обошли OpenSSH и sudo, а потом получили код в режиме ядра внутри виртуалки. Для облаков это звучит особенно неприятно, потому что модель угроз «злой хост» вроде бы как раз должна была закрываться. Формально AMD оценила риск как низкий и выпустила патчи для EPYC, но лично я бы на месте клиентов облаков задал провайдерам пару неудобных вопросов. P. S Я давно говорю, что доверять облаку нужно ровно до тех пор, пока ты понимаешь, кто держит руки на хосте. SEV и похожие технологии помогают, но не отменяют базовой модели угроз. #Безопасность #Hardware #AMD 👍 Белый хакер

👩‍💻 В сеть вывалилась гигантская куча курсов и книг от топовых IT‑школ Держи сотни гигабайт свежих уроков, и каждую неделю мы подкидываем ещё! • 1612 ГБ — DevOps • 1402 ГБ — Python • 1300 ГБ — C, C++ • 1815 ГБ — Frontend • 1515 ГБ — Backend • 898 ГБ — ИБ, Хакинг • 996 ГБ — Kotlin, Swift • 212 ГБ — JavaScript • 315 ГБ — Flutter • 820 ГБ — Go, PHP • 419 ГБ — Java, Rust • 648 ГБ — GameDev • 517 ГБ — Windows, Linux • 998 ГБ — Дизайн (UX/UI) • 617 ГБ — Нейросети (ML/RL) • 546 ГБ — БД (SQL & NoSQL) • 687 ГБ — Аналитика данных • 115 ГБ — QA-тестирование Подписывайся и не плати за то, что можно получить бесплатно

❕ Gootloader снова мутирует и ломает инструменты анализа Привет, люблю такие кейсы разбирать, потому что тут чистая инженерия зла. Операторы Gootloader прокачали маскировку так, что малварь теперь живёт в битом ZIP-архиве, собранном из сотен других архивов. Для человека всё выглядит нормально, Windows спокойно распаковывает файл, а вот большинство анализаторов просто падают или сходят с ума при парсинге.

👨‍💻 Фишка в том, что внутри лежит обычный JScript, но ZIP испорчен очень аккуратно. Склеивание 500–1000 архивов, битая структура EOCD, несоответствия метаданных и рандом в полях делают своё дело. 7-Zip и WinRAR ломаются, автоматические пайплайны детекта пропускают файл, а штатный архиватор Windows всё это «кушает» без вопросов. Я думаю, это прямой удар по песочницам и DFIR-инструментам, которые привыкли доверять библиотекам распаковки.

💬 Дальше всё по классике Gootloader, но реализовано аккуратно. JScript запускается через WScript из временной директории, прописывается в автозагрузку через LNK и живёт своей жизнью после каждого ребута. CScript, NTFS-алиасы, PowerShell, потом ещё один PowerShell. Минимум шума, максимум контроля. Плюс каждая загрузка уникальна, сигнатуры не живут дольше одного образца. 👤 Исследователи уже начали использовать слабости этой же упаковки против авторов малвари. Аномалии ZIP теперь можно ловить сигнатурно, и YARA под это уже есть. Если JScript вам не нужен, меняйте ассоциации на «Блокнот» или режьте wscript.exe и cscript.exe для скачанного контента. Иногда самый скучный харднинг даёт лучший эффект. P. S Я давно говорю, что парсеры форматов это новая поверхность атаки. Чем сложнее формат, тем больше шансов, что его можно превратить в оружие. #Malware #Gootloader #Windows 👍 Белый хакер

❔ Почему конференции по кибербезопасности становятся витринами продуктов? Привет, когда я начинаю смотреть программу крупных конференций, часто ловлю себя на мысли, что всё большее количество докладов превращаются в рекламу. Участники часто рассказывают, как внедряли свои решения, а не как решали настоящие проблемы. Мало кто говорит о том, как они нашли уязвимости или сломали систему. Знания отступают на второй план, уступая место презентациям продуктов. ⚪️ Процесс растущей коммерциализации конференций не новый. Если раньше встречи строились вокруг обмена опытом и научных достижений, то теперь они всё чаще становятся площадкой для выставки. Вендоры определяют повестку, а независимые эксперты фактически вытесняются. Честные обсуждения о неудачах или проблемах с продуктами часто не проходят отбор, так как это может затмить блеск новых решений.

👨‍💻 Так что же делать инженерам и исследователям, чтобы вернуть знания в кибербезопасность? Во-первых, нужно просить больше прозрачности и честности от программных комитетов. Необходимо ограничить количество вендорских докладов и создать условия, где независимые специалисты будут получать гонорары за свои работы, а не только «вендорские рекорды». Если мы не вернём честные конференции, то профессионалы в отрасли просто перестанут делиться знаниями, а отрасль станет еще более закрытой.

P. S Если ты не слышишь настоящего обсуждения проблемы на конференции, возможно, ты не на той конференции. #CyberSecurity #Конференции #ИБ 👍 Белый хакер

❔ 0-click через звук: как SMS приводит к root в Linux Привет, я когда читал разбор от Google Project Zero, поймал себя на мысли, что это уже не «экзотика», а новая норма. Эксплоит позволяет получить код с правами ядра Linux просто отправив SMS или RCS с криво собранным аудиофайлом. Тебе даже не нужно нажимать «прослушать». Сообщение прилетело, система сама всё декодировала, и привет, RCE без единого клика.

📱 Фишка в том, что современные Android-прошивки активно используют AI-фичи. Google Messages автоматически прогоняет голосовые через TTS и транскрипцию, чтобы был поиск по тексту. Я думаю, ты уже понял, где тут боль. Именно этот автодекод и открывает 0-click-поверхность. В цепочке две уязвимости: сначала переполнение в Dolby Unified Decoder, потом эскалация через драйвер bigwave в ядре. Итоговый результат — выход из mediacodec и захват ядра.

⚙️ Технически всё довольно грязно и красиво одновременно. Переполнение в Dolby позволяет перезаписать указатели и выполнить код в ограниченном SELinux-контексте, а дальше используется ioctl в /dev/bigwave, куда этому контексту зачем-то дали доступ. На Pixel 9 не было seccomp-фильтра, и это сильно упростило жизнь атакующим. MTE мог бы помочь, но он выключен по умолчанию, а кто реально включает Advanced Protection? Вот и ответ. 🔐 Отдельный фейспалм — как долго всё это чинили. Уязвимость нашли за пару дней, эксплоит писали недели, а патчи до пользователей ехали месяцами. Dolby сначала вообще поставила «низкую опасность», хотя им прямо сказали, что делается рабочий эксплоит. Для меня это ещё один пример, что скорость патчей сегодня иногда важнее, чем сами CVSS-оценки. P. S Если у тебя Android, относись к автообработке медиа как к потенциальному attack surface, а не «удобной фиче». #Безопасность #Android #LinuxKernel 👍 Белый хакер

👤 Админ AVCheck пойман. Конец «песочницы» для малвари Привет, думаю, многие из вас знают AVCheck. Тот самый сервис, через который авторы малвари прогоняли свои сборки, проверяя, какие антивирусы их палят, а какие нет. Так вот, история получила продолжение. В Нидерландах арестовали 33-летнего гражданина страны, которого считают оператором этой платформы. Взяли прямо в аэропорту Схипхол, когда он вернулся из ОАЭ, куда успел сбежать после закрытия сервиса.

👨‍💻 AVCheck накрыли в мае прошлого года в рамках операции Endgame. Это был один из ключевых инструментов для киберпреступников, фактически тренажёр для прокачки малвари. Ты загружаешь билд, смотришь, где детектится, подкручиваешь обфускацию и идёшь в бой уже подготовленным. Не просто «написал вирус», а довёл его до состояния, когда он реально обходит защиту.

👮‍♀️ По данным следствия, задержанный управлял сервисом через несколько компаний и продавал доступ разработчикам вредоносов. После закрытия AVCheck он залёг на дно, но, как показывает практика, киберподполье помнит долго, а международное наблюдение работает не хуже, чем threat hunting в SOC. Сейчас у него изъяли носители, может, это только начало цепочки. ⚙️ Инфраструктура киберпреступности больше не выглядит неуязвимой. Даже если ты хостишь сервис для теста малвари и сидишь за границей, это не щит. Endgame показала, что экосистему бьют не только по ботнетам и C2, но и по сервисам, без которых вся эта «индустрия» просто не взлетает. P. S Если хочешь реально усложнить жизнь атакующим, думай не только про сигнатуры, но и про то, где они тестируют свои инструменты. #InfoSec #AVCheck #Endgame 👍 Белый хакер

📱 Два миллиона Android-устройств в ботнете Kimwolf Всем привет! Возможно, многие до сих пор недооценивают, насколько Android-приставки и стриминговые боксы стали вкусной целью. Ботнет Kimwolf, он же Android-версия Aisuru, уже подобрался к двум миллионам заражённых хостов. Основной вход простой и до боли знакомый: открытый ADB в резидентных прокси-сетях. Устройства, которые часто даже не включают экран, но стабильно сидят в сети.

👤 Исследователи фиксируют активный рост с августа прошлого года, а за последний месяц малварь буквально прочёсывает прокси-эндпоинты в поисках ADB на портах 5555, 5858 и других. Если доступ открыт, дальше всё по классике: shell через netcat или telnet, скрипты в /data/local/tmp, и девайс уже в строю. Потом его используют для DDoS, продают как прокси или монетизируют через SDK от сторонних провайдеров. Помните, я писал, что Aisuru засветился в рекордной DDoS-атаке на 29,7 Тбит/с, которую фиксировала Cloudflare. Вот и результаты.

💬 По данным QiAnXin XLab, в декабре было около 1,8 млн заражённых, а сейчас аналитики Synthient говорят уже о почти 2 млн хостов и 12 млн уникальных IP в неделю. География широкая: Вьетнам, Бразилия, Россия, Индия, Саудовская Аравия. Самое неприятное, что часть устройств была заражена ещё до покупки, через встроенные прокси-SDK. То есть пользователь даже не успел воткнуть кабель, а девайс уже чья-то пехота. P. S Если у тебя в сети есть Android-устройства и ты не закрыл ADB, считай, что ты уже участвуешь в чужом ботнете. Мы всё ещё лечим последствия, а не причину: слабые настройки, мутные SDK и резидентные прокси без ограничений на локальные адреса. И Kimwolf отлично этим пользуется. #Android #Botnet #Kimwolf 👍 Белый хакер